巴比特讯,8月10日晚间,跨链互操作协议PolyNetwork遭到黑客攻击,共计超6.1亿美元转出至3个地址,受此影响导致O3Swap跨链池大额资产被转出。对此,慢雾安全团队发布分析报告表示,这种攻击主要是因为EthCrossChainData合约的keeper可以被EthCrossChainManager合约修改,EthCrossChainManager合约的verifyHeaderAndExecuteTx函数可以通过_executeCrossChainTx函数来执行用户传入的数据。因此,攻击者利用该函数传入精心构造的数据来修改EthCrossChainData合约的keeper,并非由于keeper的私钥泄露而发生此事件。
慢雾:Harmony Horizon bridge遭攻击简析:据慢雾安全团队消息,Harmony Horizon bridge 遭到黑客攻击。经慢雾 MistTrack 分析,攻击者(0x0d0...D00)获利超 1 亿美元,包括 11 种 ERC20 代币、13,100 ETH、5,000 BNB 以及 640,000 BUSD,在以太坊链攻击者将大部分代币转移到两个新钱包地址,并将代币兑换为 ETH,接着将 ETH 均转回初始地址(0x0d0...D00),目前地址(0x0d0...D00)约 85,837 ETH 暂无转移,同时,攻击者在 BNB 链暂无资金转移操作。慢雾 MistTrack 将持续监控被盗资金的转移。[2022/6/24 1:28:30]
慢雾:Crosswise遭受攻击因setTrustedForwarder函数未做权限限制:据慢雾区情报,2022年1月18日,bsc链上Crosswise项目遭受攻击。慢雾安全团队进行分析后表示,此次攻击是由于setTrustedForwarder函数未做权限限制,且在获取调用者地址的函数_msg.sender()中,写了一个特殊的判断,导致后续owner权限被转移以及后续对池子的攻击利用。[2022/1/19 8:57:48]
分析 | 慢雾安全团队提醒|EOS假账号安全风险预警:根据IMEOS报道,EOS 假账号安全风险预警,慢雾安全团队提醒:
如果 EOS 钱包开发者没对节点确认进行严格判断,比如应该至少判断 15 个确认节点才能告诉用户账号创建成功,那么就可能出现假账号攻击。
攻击示意如下:
1. 用户使用某款 EOS 钱包注册账号(比如 aaaabbbbcccc),钱包提示注册成功,但由于判断不严格,这个账号本质是还没注册成功
2. 用户立即拿这个账号去某交易所做提现操作
3. 如果这个过程任意环节作恶,都可能再抢注 aaaabbbbcccc 这个账号,导致用户提现到一个已经不是自己账号的账号里
防御建议:轮询节点,返回不可逆区块信息再提示成功,具体技术过程如下:
1. push_transaction 后会得到 trx_id
2. 请求接口 POST /v1/history/get_transaction
3. 返回参数中 block_num 小于等于 last_irreversible_block 即为不可逆[2018/7/16]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。